Certificate — public keyni muayyan domain, server, tashkilot yoki shaxs identity’si bilan bog‘lovchi raqamli hujjat. Web xavfsizlikda certificate ko‘pincha TLS/HTTPS bilan bog‘liq bo‘ladi.
Certificate foydalanuvchi browseriga server haqiqiyligini tekshirishga yordam beradi. U Public Key Infrastructure, ya’ni PKI tizimining asosiy qismlaridan biridir.
Vazifasi
Certificate quyidagi vazifalarni bajaradi:
- public keyni domain bilan bog‘lash;
- server identity’sini tasdiqlash;
- HTTPS aloqasida ishonch yaratish;
- TLS handshake jarayonida qatnashish;
- certificate authority tomonidan tasdiqlangan public keyni yetkazish;
- clientga soxta serverni aniqlashda yordam berish;
- secure communication uchun asos yaratish.
Masalan, uzbekdevs.uz saytida HTTPS ishlashi uchun domain nomiga mos TLS certificate kerak bo‘ladi.
Certificate ichida nimalar bo‘ladi?
Certificate ichida odatda quyidagi ma’lumotlar bo‘ladi:
- domain nomi;
- public key;
- issuer, ya’ni certificate’ni bergan tashkilot;
- subject, ya’ni certificate kimga tegishli ekani;
- amal qilish muddati;
- serial number;
- signature algorithm;
- certificate authority imzosi.
Certificate private keyni o‘z ichiga olmaydi. Private key serverda alohida va maxfiy saqlanadi.
Public key bilan bog‘liqligi
Certificate ichida public key bo‘ladi. Bu public key server private keyiga mos keladi.
Certificate orqali browser:
- server public keyini oladi;
- public key qaysi domainga tegishli ekanini ko‘radi;
- certificate authority imzosini tekshiradi;
- TLS aloqani boshlaydi.
Certificate public keyni ishonchli identity bilan bog‘lab beradi.
Private key bilan bog‘liqligi
Certificate public keyni saqlaydi, private key esa serverda maxfiy saqlanadi.
Bog‘liqlik:
- public key certificate ichida bo‘ladi;
- private key serverda alohida turadi;
- ikkalasi bitta key pairga tegishli;
- private key oshkor bo‘lsa, certificate xavfsizligi buziladi;
- certificate yangilanishi yoki bekor qilinishi mumkin.
Certificate Authority
Certificate Authority yoki CA — certificate beruvchi va uni digital signature bilan tasdiqlovchi ishonchli tashkilot.
CA vazifalari:
- domain yoki tashkilot identity’sini tekshirish;
- certificate chiqarish;
- certificate’ni imzolash;
- certificate chain yaratish;
- certificate bekor qilinganini e’lon qilish.
Browserlar ma’lum trusted CA’lar ro‘yxatiga ega bo‘ladi.
Certificate chain
Certificate chain — server certificate’dan root CA’gacha bo‘lgan ishonch zanjiri.
Chain odatda quyidagilardan iborat:
- leaf certificate;
- intermediate certificate;
- root certificate.
Browser bu zanjirni tekshiradi. Agar chain ishonchli root CA’ga borib taqalsa, certificate ishonchli deb qaraladi.
Root certificate
Root certificate — trust zanjirining eng yuqori qismidagi certificate. U browser yoki operatsion tizim trusted store’ida saqlanadi.
- o‘z-o‘zini imzolagan bo‘lishi mumkin;
- juda yuqori ishonchga ega;
- intermediate certificate’larni imzolaydi;
- noto‘g‘ri ishlatilsa katta xavfsizlik muammosi tug‘diradi.
Intermediate certificate
Intermediate certificate — root CA va server certificate o‘rtasida turadigan certificate. U leaf certificate’larni imzolashda ishlatiladi.
Intermediate certificate:
- root CA xavfsizligini himoyalashga yordam beradi;
- chain ichida oraliq ishonch qatlami bo‘ladi;
- server konfiguratsiyasida to‘g‘ri berilishi kerak.
TLS certificate
TLS certificate HTTPS aloqada ishlatiladigan certificate turidir. U browserga server identity’sini tekshirish va encrypted connection yaratish imkonini beradi.
TLS certificate:
- domain bilan bog‘lanadi;
- public keyni saqlaydi;
- CA tomonidan imzolanadi;
- amal qilish muddatiga ega;
- HTTPS uchun kerak bo‘ladi.
Self-signed certificate
Self-signed certificate — CA tomonidan emas, o‘zi tomonidan imzolangan certificate.
Self-signed certificate:
- test muhitida ishlatilishi mumkin;
- browser tomonidan odatda ishonchsiz deb ko‘rsatiladi;
- public internet saytlar uchun mos emas;
- ichki tizimlarda maxsus trust sozlamalari bilan ishlatilishi mumkin.
Certificate muddati
Certificate ma’lum vaqtgacha amal qiladi. Muddati tugagan certificate browserda xatolik chiqaradi.
Certificate muddati:
- xavfsizlikni boshqarish uchun kerak;
- kalitlarni vaqti-vaqti bilan yangilashga majbur qiladi;
- eski certificate’lar nazoratini osonlashtiradi;
- TLS infratuzilmasining muhim qismidir.
Certificate revocation
Certificate bekor qilinishi mumkin. Bu private key oshkor bo‘lganda yoki certificate noto‘g‘ri berilganda kerak bo‘ladi.
Revocation tekshiruvi:
Dasturlashdagi o‘rni
Certificate public keyni domain yoki identity bilan bog‘lovchi raqamli hujjatdir. U TLS, HTTPS, PKI, digital signature va secure communication tizimlarida asosiy rol o‘ynaydi.
Bog‘liq tushunchalar
Public key, Private key, TLS, HTTPS, Certificate Authority, PKI, Digital signature, Root certificate, SSL certificate, Security